[面向AD管理员] 2020年LDAP签名与LDAP通道绑定启用指南

有効となる機能

为提升Active Directory域环境中LDAP通信的安全性，微软启用以下两项功能：

(A) LDAP签名

通过LDAP签名，可为LDAP会话进行会话密钥签名。这使得LDAP服务器与LDAP客户端间的会话获得签名保护，有效防止篡改攻击。

参考信息

在Windows Server 2008中启用LDAP签名的方法
域控制器：LDAP服务器签名要求

(B) LDAP通道绑定（仅限LDAPS使用时）

在LDAP over SSL/TLS (LDAPS)中启用LDAP通道绑定后，可在应用层正确使用传输层TLS运作的信息，安全管理跨网络层的信息流。启用后，LDAP客户端需向服务器提供通道绑定令牌(CBT)。服务器端可强制要求LDAP客户端提供CBT（或仅对支持CBT的客户端强制要求）。

参考信息

通过设置LdapEnforceChannelBinding注册表项增强SSL/TLS连接的LDAP认证安全性

为什么需要启用？

当前默认配置下，LDAP连接不强制要求LDAP签名或通道绑定。这使得恶意中间人可能对LDAP通信实施攻击。微软此前已开始提供这些功能，并通过注册表配置呼吁用户启用。为确保Active Directory环境中的LDAP连接更加安全可靠，现决定通过组策略启用这些功能。

対象環境

Windows Server 2008 SP2 (ESU)、Windows Server 2008 R2 SP1 (ESU)、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows 10版本1909

实施计划

按以下时间表逐步启用功能。最新信息请参考支持文档KB4520412《Windows 2020年LDAP签名与通道绑定要求》。

日期 (PST)	内容
2019年8月13日	发布安全公告ADV190023，推荐在AD环境中使用LDAP签名和通道绑定功能
2019年9月11日	更新ADV190023，告知将逐步启用这些功能
2020年2月28日	更新ADV190023和KB4520412，公布2020年3月安全更新的具体变更内容和启用步骤
2020年3月11日	通过Windows Update发布安全更新，新增LDAP通道绑定相关事件日志(3039-3041)和组策略项，但默认值保持不变

影响分析

当前默认配置下这些功能未启用。强制启用后，配置不当的LDAP客户端可能出现连接问题：

(A) LDAP签名强制启用影响
- 无法使用未签名的SASL（Negotiate、Kerberos、NTLM或摘要）LDAP绑定
- 明文（未SSL/TLS加密）连接上的LDAP简单绑定将失效
(B) LDAP通道绑定（仅LDAPS）
- 无法提供CBT的客户端可能连接失败
- 未安装KB4034879的客户端可能存在兼容性问题，建议域内所有终端安装该更新
- 服务器端设置为"Always"要求CBT时，未提供CBT的客户端绑定失败
- 设置为"When supported"时，仅对支持CBT的客户端强制要求

参考资源

安全公告ADV190023：https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023
Windows 2020年LDAP要求：https://support.microsoft.com/ja-jp/help/4520412
LDAP变更常见问题：https://support.microsoft.com/ja-jp/help/4546509
技术社区详细说明：https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-2020/ba-p/921536

本文最后更新于2020年6月3日，添加了KB4563239相关信息

深入解析LDAP签名与通道绑定：提升Active Directory安全性的关键技术

本文详细介绍了微软在2020年对LDAP签名和LDAP通道绑定技术的强制启用要求，包括技术原理、实施步骤、影响评估及最佳实践，帮助AD管理员全面提升域环境安全性。